[发明专利]一种基于决策树的HTTPS加密流量分类方法

说明书

本发明涉及一种基于决策树的HTTPS加密流量分类方法。首先在局域网环境中进行旁路镜像端口配置，在监控设备上通过网络封包分析软件对HTTPS加密流量进行抓取，将采集的数据包解析成json数组并存入表格文件中来获得原始数据，同时利用已经确定的标签数据，提取出决策树样本全集，通过特征工程，对原始数据进行预处理，筛选出15个较为显著的特征，生成相应的训练集和测试集，通过训练集构建决策树分类模型后用测试集对该模型进行评估，实现目标网站模块内容的精确分类。具体实例表明，本方法可有效实现目标网站模块内容的精确分类，实现对HTTPS加密流量的有效管理。

技术领域

本发明涉及网络安全和技术领域，具体涉及一种基于决策树的HTTPS加密流量分类方法。

背景技术

随着互联网被广泛用于网上购物、网上银行、电子交易等商业活动上，数据的价值不言而喻。人们期望网络协议和应用程序通过提供加密、数据完整性来保护关键数据。SSL/TLS协议套件通常建立在易于理解和彻底分析的加密算法之上，为许多应用程序和协议提供了一定程度的安全性。

HTTPS协议结合对称加密和非对称加密两种加密方式实现数据的安全传输，在保护隐私的同时也为恶意流量提供了隐蔽之所，由于传统破解并解密网络流量的方法需要部署额外设备，成本和部署难度较高，直接获取加密的秘钥对流量进行解密的难度较高。传统的基于有效载荷的方法已无法处理加密流量，基于流量特征和机器学习的加密流量分类和分析成为目前的主流方法。

随着HTTPS的使用量超过HTTP，对网络流量进行加密传输已成为保护关键数据的常用方法，这种方法虽然极大程度的保护了用户隐私，但识别加密流量中的潜在威胁却为网络安全带来了一系列挑战，通过加密网络通道传递的恶意软件将变得越来越多，因此加密流量分类对于有效的网络分析和管理至关重要。

发明内容

本发明的目的是：本发明通过监督学习的方法对采集的HTTPS加密网络流中的特征属性进行分析，提出一种基于决策树的HTTPS加密流量分类方法。根据HTTPS加密流量分类的实际问题，对可以获取到的原始数据进行采集，同时利用已经确定的标签数据，提取出决策树样本全集，通过特征工程，对原始数据进行预处理，筛选出较为显著的特征。将样本全集根据合适比例划分为训练集和测试集后，对模型进行训练，通过测试集，验证模型的有效性，得到决策树分类模型，实现目标网站模块内容的精确分类。

一般来说，一棵决策树由一个根节点，若干个内部节点和若干个叶节点组成。其中，根节点包含了样本全集，叶节点对应于决策的结果，其他节点对应于一个属性测试，每个节点包含的样本集合根据属性测试的结果被划分到子节点中，从根节点到每个叶节点的路径对应着一个判定测试序列。

为了达到上述目的，本发明所采用的技术方案是：一种基于决策树的HTTPS加密流量分类方法，其特征在于，所述方法包括如下步骤：

(1)通过网络封包分析软件对HTTPS加密流量进行抓取，获取SSL/TLS握手成功后加密传输的HTTPS应用数据包，即待分类数据包；

(2)对待分类数据包进行数据包标记，同时，通过特征工程对待分类数据包进行预处理，筛选出本方法数据集包含的15项网络流属性，同时利用已经确定的标签数据，提取出决策树样本全集；

(2.1)将Wireshark对网站进行分模块采集的数据包加上标签字段作为该样例的真实标记即该样例已经确定的标签数据；

(2.2)将Wireshark捕获的pcap数据包解析成json数组并存入表格文件中，通过数据预处理将属性值进行规范化，去掉网络流数据中属性值相同的特征，对缺失值进行均值处理；

(2.3)将用十六进制表示的tcp有效荷载及应用数据转换成相应的字符串长度；